ANALIZA DE RISC SI DE VULNERABILITATE PENTRU INFRASTRUCTURILOR CRITICE ALE SOCIETATII INFORMATICE -SOCIETATE A CUNOASTERII Adrian V Gheorghe* 1 Problematica vulnerabilitatii si riscului in Societatea Informatica -Societatea Cunoasterii Societatea romaneasca se afla in mijlocul unor profunde transformari politice, economice, sociale si culturale Acest ansamblu de transformari afecteaza viata fiecaruia dintre noi Societatea Informatica - Societatea Cunoasterii va depinde cu siguranta de performantele infrastructurilor critice ale economiei romanesti ex sistemele de producere, transport si distributie ale energiei, sistemele de telecomunicatie, banci, sistemele de transport aerian, naval, pe cale ferata si pe cale rutiera, care vor putea fi tot mai mult accesate din interiorul granitelor nationale, dar si din afara acestora Societatea informatica - societatea cunoasterii redefineste problematica si doctrina de aparare nationala; aspectele economice nu vor fi cele doar strict legate de business si / sau de afaceri Securitatea infrastructurilor critice ale societatii romanesti vor trebuie asigurate la un inalt nivel de complexitate, intelegere si actiune "Cunoasterea", ca atare, va deveni o "arma" de aparare impotriva riscurilor, ale noilor vulnerabilitati ce vor apare cu siguranta in societatea deceniilor viitoare Prin vulnerabilitate se intelege identificarea unui ansamble de evenimente externe sistemelor tehnice care pun in pericol existenta infrastructurilor tehnice, ale sistemelor informatice, cu precadere, si reprezinta elemente de initiere in cadrul analizelor de risc specializate, cu luarea in considerare a probabilitatilor aparitiei elementelor de hazard si consecintele negative ale propagarii dezastrelor Ceea ce se numeste astazi tot mai des pericole cibernetice (cyberthreats) vor deveni mai prezente in etapele noi de tranzitie catre o societate informatica - societate a cunoasterii La sfarsitul anilor '80, un diplomat roman in una din tarile nordice declara cu mandrie patriotica: "scoate din priza calculatoarele din societatea occidentala si aceasta va fi pierduta Noi (romanii) nu avem nevoie de o societate informatica, pentru a fi asadar vulnerabili" In etapa noua politica, economica si culturala in care se afla Romania, este evident ca lucrurile s-au inversat Un diplomat roman astazi va afirma cu siguranta ca va afirma "fara a fi cuplata la Internet, fara o cultura informatica minima, societatea romaneasca, intreaga ei structura economico-politica si culturala nu va mai fi nicidecum si nicicand compatibila cu noile structuri euro-atlantice" Este, asadar, numai o chestiune de timp cand se fac afirmatii de un tip sau altul? 2 Teze ale vulnerabilitatii si riscurile infrastructurilor critice in societatea informationala - societatea cunoasterii Cunoasterea, si managementul acesteia, au devenit resursa pricipala a societatilor moderne actuale Firme de mare reputatie internationala, inainte cu cativa ani erau producatoare de echipamente energetice de mare performata ca de exemplu firma elvetiano-suedeza ABB, sau firma Sultzer Astazi ele se declara knowledge management companies (companii care proceseaza, coordoneaza si conduc o micro economie bazata pe cunostinte) Schimbarile asteptate in viitor, de la o societate bazata eminamente pe resurse materiale la o societate a utilizarii resurselor inteligente care se profileaza deja astazi, conduce la integrarea pe scara larga a prelucrarii si managemteul cunostintelor si a informatiei Aceasta este o schimbare structurala in conditiile de globalizare, access la Internet, etc In lucrarea de fata ma voi rezuma la vulnerabilitaea infrastructurilor critice in conditiile adoptarii unei noi doctrine politice de dezvoltare in Romania, cea a societatii informatice, a societatii cunoasterii In terminologia adptata recent, infrastructurile critice sunt definite prin: * Structurile informatice si de comunicatie * Bancile si sistemul financiar ale unei tari * Sistemele de energie, incluzand cele de producere si transport ale electricitatii, ale petrolului si ale gazului natural * Structuri de distributie fizica ale resurselor ex: sistemele de transport feroviare, rutiere, navale, aeriene * Serviciile vitale support ale activitatilor umane (sanitare, apararea civila, politia, armata) Vulnerabilitatea acestor sectoare, in conditiile accentuarii introducerii in managementul societatii, a informaticii si cunoasterii (information and knowledge) trebuie re-evaluata si considerate in toata amplitudinea ei Avantajul Romaniei este acela ca va proiecta si realiza aceste infrastructuri support ale prelucrarii si managementul informatiilor in conditii in care deja alte societati (societatea occidentala) se confrunta deja cu definirea si managementul riscurilor specifice aceasta are loc pe masura asimilarii de noi structuri tehnice care implica o complexitarte generalizata a tehnologiei, reteleor, sistemelor tehnologice support Caderea, pentru numai o ora a sistemului de calculatorae ale bursei din New York - SUA, a creat in iunie 2001 panica si confuzie mondiala Romania, ca viitor partener in structurile economice globale si euro - atlantice, va trebui cu precadere sa-si defineasca o strategie support de identificare a vulnerabilitatilor si minimizarea riscurilor infrastructurilor ei critice 3 Solutii posibile In perspectiva accentuarii, in Romania, a introducerii si promovarii elementelor societatii informatice - societatea cunaosterii, o serie de aspecte noi trebuie identificate si controlate: > Crescanda dependenta fata de infrastructurile critice ale societatii: in perspectiva dependenta fiecaruia dintre noi va fi tot mai mare fata de sistemele de producere, distributie si transport ale energiei electrice, sistemele de comunicatie si a sistemelor de calculatoare > Va avea loc o crestere a vulnerabilitatii sistemelor infrastructurilor critice in etapele de trecere accentuata in Romania la societatea informatica- societatea cunoasterii: o Se vor diversifica posibilitatile de provocare a unor daune clasice (ex: riscurile tehnologice provocate de sisteme active (centrale nuclaro- electrice, chimice) sau de sisteme tehnice asa numite pasive (ex baraje ale centralelor hidroelectrice) o Vor apare noi pericole de tip si natura cibernetica: extinderea retelelor de calculatoare, accesul la un computer personal (PC) si o conexiune telefonica clasica poate provoca intentionat duane insemnate o Complexitatea sistemelor tehnice si a interdependentelor acestora, precum si posibila / probabila interactiune cu catastrofele naturale vor reprezenta noi elemente de vulnerabilitate pentru infrastructurile critice ale societatii Spectrul pericolelor se va extinde si poate, in principiu, sa includa: > Evenimente naturale si accidente tehnice ce pot provoca daune materiale , ecologice si umane importante; > Erori umane si omisiuni, care prin suportul fizic al societatii informatice - societatea cunoasterii, poate induce efecte transversale negative in numeroasele componente ale infrastructurilor critice O eroare umana provaocata in sistemul de distributie a energiei electrice, induce nealimentarea cu energie a sistemului de transport feroviar privind transportul substantelor periculoase Hackerii, cei care din numeroase motive personale sau sociale, aflati pe teritoriul Romaniei sau in afara acesteia, pot provoca intentionat discontinuitati grave ale functionarii infrastructurii informatice ale viitoarei societati informatice - societate a cunoasterii: * Activitati criminale * Spionaj industrial * Terorism * Razboi informatic Ceea ce reprezinta astazi vulnerabilitate si risc pentru societatile occidentale avansate, ele vor reprezenta elemente de input negativ si stres pentru societatea romaneasca,ca societate informatica - societate a cunostintelor Bunaoara, trebuie depuse de la inceput eforturi pentru cunoasterea, localizarea si minimizarea inca de la inceput a efectelor potential negative ce pot apare in societatea infomatica - societate a cunoasterii, infrastructurile critice ale societatii In etapa actuala de proiectare a structurilor societatii informatice - societate a cunoasterii, trebuie accentuat pe urmatoarele aspecte: > Creearea unei culturi de securitate (safety culture) la nivelul publicului, specialistilor, managerilor si politicienilor Noi legi trebuie adoptate si promovate pe masura ce societatea informatica - societate a cunoasterii demareaza ca un process continuu si ireversibil; > Asigurarea unor infrastructuri manageriale corespunzatoare, disseminate la toate nivelurile si adaptate gradual la necesitatile societale; > Elaborarea unui sistem de legi specifice protectiei infrastrufturilor critice, in consens cu legislatia internationala si Europeana; > Elaborarea unui program de cercetare stiintifica si dezvoltare care sa asigure progresul in cunoasterea si managementul complexitatii si interactiunilor in cadrul infrastructurilor critice ale societatii informatice - societatea cunoasterii Necesitatea creerii unui program de constientizare si de educatie pentru a face fata cerintelor generate de promovarea societatii informatice - societatea cunoasterii este un alt aspect ce trebuie considerat cu atentie In acest sens, este de remarcat faptul ca promovarea societatii informatice - societatea cunoasterii presupune un amplu program de educare, de intelegere a dimensiunilor promovarii procesului de a naviga continuu spre realizarea acestor deziderate ale societatii informatice - societate a cunoasterii Industria privata sau cea cu participare publica are sarcina de a coopera si de a schimba informatii in vedera asigurarii functionalitatii, in conditii de maxima securitate a infrastructurilor critice In orice societate, dar cu precadere in societate informatica- societate a cunoasterii, infrastructurile critice pot fi caracterizate ca acelea care asigura "linia vietii" (lifelines infrastructures), de care societatea contemporana este astazi pe deplin dependenta In societatea informatica - societatea cunoasterii nu mai exista frontiere, in sensul clasic al acestei acceptiuni Infrastructurile critice, linii ale vietii, sunt expuse la noi tipuri de vulnerabilitate - vulnerabilitati cibernetice - si noi pericole, pericole cibernetice Modul de abordare al vulnerabilitatilor si riscurilor societatii informatice - societate a cunoasterii, trebuie sa adopte noile dimensiuni cibernetice specifice acestora Acestea sunt deja concluzii pe care si le-au asumat si recentele studii cu rezonanta in SUA si Europa Occidentala Se mentioneaza in aceste studii ca "ceea ce este extrem de important este de a recunoaste ca atat detinatorii cit si cei ce opereaza infrastructurile informatice sunt astazi in prima linie in ceea ce priveste efortul pentru asigurarea securitatii acestora Acestia sunt, in primul rand, cei mai vulnerabili la atacurile cibernetice Si aceasta vulnerabilitate are influente negative asupra securitatii nationale, competitivitatea economica globala si a bunastarii la nivel national " Societatea informatica- societatea cunoasterii implica adoptarea si negocierea unei noi geografii informatice, in care granitele sunt irelevante si distantele geografice fara sens, unde inamicul potential poate "demola" sistemele vitale ale societatii fara nici un act de prezenta sau agresiune asa numita militara Pe masura ce vom face eforturi pentru a atinge scopurile si avantajele societatii informatice- societatea cunoasterii, in paralel trebuie sa avem in vedere ca trebuie proiectate structuri si retele de conducere in societatea informatica - societatea cunoasterii reziliente, capabile sa raspunda noii geografii a vulnerabilitatii si riscurilor infrastructurilor critice din Romania Inainte de a atinge stadiile societatii informatice - societatii cunoasterii, Romania va trebui sa gospodareasca inteligent si eficace ansamblul infrastructurilor critice existente, cu varsta lor tehnologica, gradul lor de intretinere Aceasta nu este o iluzie sau o simpla ipoteza de lucru, ci un deziderat extrem de serios si din perspectiva in care forma de proprietete a acestora sufera profunde schimbari Apoi integrarea dinamica a infrastructurilor existente cu cele specifice societatii informatice - societatea cunoasterii va presupune recunoasterea si managementul unor vulnerabilitati specifice Analizele de risc si vulnerabilitate pentru aceste categorii de sisteme, evolutia lor in etape de tranzitie, tinand cont de gradul de educatie si pregatire pentru managementul sistemelor complexe, vor avea un rol extrem de important in deceniul viitor O concluzie posibila in etapa de demarare a dezideratelor societatii informatice - societatea cunoasterii este aceea ca analiza de vulnerabilitate si risc trebuie considerate cu precadere Se afirma recent ca " a astepta aparitia dezastrelor este o strategie periculoasa Acum este timpul pentru a actiona in vedera protejarii viitorului nostru" In noua geografie a riscurilor generate de existenta infrastructurilor critice in cadrul societatii informatice - societatea cunoasterii este necesar sa invatam sa gandim diferit asupra operabilitatii conceptelor de vulnerabilitate, siguranta, securitate si risc Referitor la definirea directiilor de constructie si coordonare a eforturilor societale pentru societatea informatica - societatea cunoasterii, o serie de aspecte se vor evidentia in continuare: > Se impune cu necesitate schimbul reciproc de informatii, date si cunostinte referitor la vulnerabilitatea deferitelor sisteme de infrastructuri critice, intre Guvern si sectoarele implicate, transversal intre sectoare distincte in cadrul conceptului de infrastructuri critice, in conditiile societatii infromatice - societatea cunoasterii > Este necesar sa se construiasca in cadrul societatii informatice - societatea cunoasterii, un sistem de responsabilitati care sa garanteze cooperarea intre diferitele grupuri active in functionarea infrastructurilor critice > Protectia infrastructurilor impune construirea de capabilitati integrate in cadrul diverselor institutii in structura generala a societatii in Romania > Este necesara realizarea unei culturi de securitate (safety culture) corespunzatoare > Sistemul de legi ale societatii informatice - societatea cunoasterii trebuie sa ia in considerare potentialul de impact ale pericolelor cibernetice si reglementate in mod corespunzator > Se impune initierea si coordonarea adecvata a unor activitati de cercetare stiintifica care sa adreseze problematica vulnerabilitatii si securitatii infrastructurilor critice in cadrul conceptului de societate informatica - societatea cunoasterii In legatura cu realizarea unor studii practice care sa adreseze problematica vulnerabilitatii si riscului infrastructurilor critice se impune, ca in conditiile Romaniei, sa se: > Promoveze construirea unor banci de date care sa colecteze si prelucreze date spcifice infrastructurilor critice > Construirea de banci de cunostinte care sa inglobeze cea mai buna practica (best practice) privind proiectarea si functionarea infrastructurilor critice in lume si in Romania, in special > Promovarea unor programe de invatamant la nivel universitar si postuniversitar pentru a face fata nevoilor specifice analizei vulnerabilitatii si riscului infrastructurilor critice ale societatii informatice - societatea cunoasterii din Romania > Instituirea in cadrul structurii Academiei Romane a unui grup de lucru, comisie sau task force, pentru o activitate de cercetare interdisciplinara pe problematica vulnerabilitatii si riscului sistemelor complexe, in special al infrastructurilor critice si impactul lor la nivel national > Se va impune cu siguranta adoptarea unei terminologii unitare in acest domeniu > Realizarea unui parteneriat la nivel national intre domeniul public si cel privat care sa asigure un nivel acceptabil al securitatii infrastructurilor cirtice in cadrul societatii informatice - societatea cunoasterii, fara sa afecteze operabilitatea functiilor vitale ale economiei nationale din Romania > Promovarea in toate etapele ciclului de viata al infrastructurilor critice ale societatii infromatice - societata cunoasterii a studiilor si analizei de risc, promovand cea mai buna practica (best practice) si adoptarea unor criterii de risc cu larga acceptabilitate societala (ex principiul ALARA -As Low As Reasonable Acceptable) > Coordonarea in cadrul sistemului de legi din Romania a introducerii unor prevederi care conduca la descurajarea atacurilor critice asupra infrastructurilor critice, dar si includerea de elemente legislative care sa incurajeze solutii de tip risc-beneficiu privind proiectarea, realizarea si functionarea operativa a infrastructurilor critice, in conditiile cresterii complexitatii si a dependabilitatilor acestora > Promovarea, sustinerea si realizarea in practica a unui ansamblu de masuri specifice creerii unei constientizari a actiunilor in caz de urgenta (emergency awareness) care impreuna cu cele ale culturii de securitate (safety culture) sa depaseasca momentele posibile de criza in functionarea infrastructurilor critice ale societatii informatice -societatea cunoaterii > Realizarea unor schimbari de informatii si experienta internationala prin creearea si de societati / fundatii in Romania care sa disemineze cea mai buna practica privind asigurarea continuitatii operabilitatii infrastructurilor critice (ex Fundatia Infosurance1 in Elvetia) 4 Concluzii In loc de concluzii, se pot lua in considerare urmatoarele remarci, in scopul unor analize mai aprofundate si realizarea unui business plan referitor la promovarea si implementarea principiilor societatii informatice - societatea a cunoasterii: Remarca 1: Managementul riscurilor societatii informatice - societatea cunoasterii necesita, in general, un parteneriat dedicat intre industrie, Guvern, societate Remarca 2: Structurile de decizie ale societatii romanesti trebuie sa fie construite pe principiul de adaptabilitate si raspuns la crize privind disfunctionalitatea infrastructurilor critice Remarca 3: Se impune, in perspectiva construirii cu intensitate a cadrului si dimensiunilor societatii informatice - societatea cunoasterii, luarea in considerare a pericolelor cibernetice (cyberthreats) si anticiparea si marginirea adecvata a efectelor acestora la niveluri diferite ale societatii Remarca 4: Adoptarea conceptelor "cash and carry security" sau "buy-in security" vor deveni instrumentale in cadrul structurilor economiei de piata pentru Romania Aplicarea lor va genera forme noi de promovare durabila a elementelor concrete ale societatii informatice - societatea cunoasterii Bibliografie 1 *** - Critical Foundations Protecting America's Infrastructures The Report of the President's Commission on Critical Infrastrucutre Protection, Washington DC, October 1997 2 *** - 3 *** - 4 *** - Infosurance, Zürich, 2001 * Universitatea Politehnica Bucuresti, Romania, Swiss Federal Institute of Technology (ETH) Zürich, Switzerland, e-mail: adrian gheorghe@switzerland org 1 Infosurance realizeaza un system complex de activitati privind posiblia vulnerabilitate a sistemelor informatice la scara societatii elvetiene - - 1 